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Aufsichtlich kontrollierte Hackerangriffe auf Banken-IT 


Vorbemerkung der Fragesteller 

Das am 2. Mai 2018 veröffentlichte European Framework for Threat Intelli- 
gencebased Ethical Red Teaming (Tiber-EU) der Europäischen Zentralbank 
(EZB) ist ein Rahmenwerk, um mittels kontrollierter Cyber-Flackingangriffe die 
Widerstandsfähigkeit von Akteuren im Finanzsektor zu testen und um so eine 
Vergleichbarkeit auf europäischer Ebene herzustellen (vgl. Pressemitteilung der 
EZB vom 2. Mai 2018). Dieses Rahmenwerk enthält Anleitungen und Standards 
zur europäischen Flannonisierung von kontrollierten Cyberattacken externer 
Dienstleister gegen wichtige Banken, aber auch gegen Zahlungsdienstleister, 
Börsen, Clearinghäuser oder Versicherer. Dänemark, Belgien und die Nieder¬ 
lande hätten bereits die rechtlichen Bedingungen dafür geschaffen, indem sie 
Tiber-EU implementierten: 

- Veröffentlichung des Tiber-NL-Ratgebers imNovember 2018 (www.dnb.nl/ 
binaries/TIBER-NL%20Guide%20Second%20Test%20Round%20final_tcm 
46-365448.pdf); 

- Veröffentlichung des Tiber-BE-Ratgebers im November 2018 (www.nbb.be/ 
doc/be/be6/tiber_be_fr amework.pdf); 

- Veröffentichung des Tiber-Dk-Ratgebers im Dezember 2018 (www.national 
banken.dk/da/finansielstabilitet/fsor/Documents/TIBER%20Implementerings 
guide.pdf). 

Die „Börsen-Zeitung“ berichtete am 16. Januar 2019, in Deutschland solle eine 
Entscheidung über die Implementierung eines solchen Rahmenwerks für Cyber- 
Stresstests hingegen noch ausstehen. Sie werde jedoch in der ersten Jahreshälfte 
erfolgen, hätten mit den Plänen vertraute Personen verlauten lassen. 

Nicht nur aktuelle Fälle der rechtswidrigen Datenbeschaffung haben den Fokus 
auf die Cyber- bzw. Datensicherheit noch einmal erhöht. Auch etwa der Spot¬ 
light Report 2018 mit dem Titel „Could an Equifax-sized data breach happen 
again?“ zeigte einen Anstieg der Sicherheitsverletzungen in allen Branchen, ein¬ 
schließlich der Finanzdienstleistungen, auf. Weltweit würden Finanzdienstleis- 
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ter immer mehr Cyberangriffen ausgesetzt. Hacker nutzten bisweilen soge¬ 
nannte versteckte Tunnel, um sich in Untemehmensnetzwerken einzunisten und 
wertvolle Daten aus der Ferne abzuschöpfen. 


1. Kann die Bundesregierung bestätigen, dass in Deutschland das Rahmenwerk 
von Tiber-EU noch nicht implementiert wurde bzw. ein entsprechender Rat¬ 
geber (Guide bzw. Guidance) noch nicht veröffentlicht wurde? 

2. Wennja, welche Gründe haben es bislang verhindert, einen solchen Ratgeber 
zu erarbeiten? 

Die Fragen 1 und 2 werden zusammen beantwortet. 

In Deutschland wird die Implementierung des TIBER-DE Rahmenwerk derzeit 
vorbereitet. Dabei werden auch die im Oktober 2018 von den G7-Finanzministem 
und Notenbankgouverneuren verabschiedeten unverbindlichen „G7 Fundamental 
Elements for Threat-Led Penetration Testing“ (www.bundesfmanzministerium. 

de/Content/DE/Downloads/2018- 10-30-g7-penetration-testing.pdf? _blob= 

publicationFile&v=3) berücksichtigt. 

Das TIBER-EU ist ein freiwilliges Rahmenwerk, das von der Europäischen Zen¬ 
tralbank (EZB) im Mai 2018 veröffentlicht wurde. Das Rahmenwerk wird allen 
zuständigen Behörden zur Verfügung gestellt, wobei allerdings die nationale Im¬ 
plementierung nicht verpflichtend ist. Es ist insbesondere zu berücksichtigen, 
dass der deutsche Finanzsektor im Hinblick auf Größe und Art der Finanzinstitute 
sehr heterogen ist. Die Ausgangslage ist daher in Deutschland eine andere als in 
den Ländern, wie z. B. Niederlande, Belgien oder Dänemark. 


3. Hat die Bundesregierung einen bereits konkreten Auftrag erteilt, einen 
Tiber-DE-Ratgeber zu erarbeiten? 

a) Wann wurde dieser Auftrag durch die Bundesregierung bzw. ein Bundes¬ 
ministerium gefasst? 

b) Welche Behörde bzw. Institution ist seitens der Bundesregierung mit der 
Erarbeitung eines Tiber-DE-Ratgebers betraut worden? 

c) Welche Behörde bzw. welche Institution soll nach Ansicht der Bundesre¬ 
gierung für die Beaufsichtigung der Hackerangriffe zuständig sein? 

Die Fragen 3 bis 3c werden zusammen beantwortet. 

Die Bundesregierung hat die BaFin beauftragt, in Kooperation mit der Deutschen 
Bundesbank Rahmenbedingungen für eine nationale Implementierung zu erarbei¬ 
ten. Die hierfür eingerichtete Arbeitsgruppe hat ihre Arbeit im Oktober 2018 auf¬ 
genommen und setzt sich aus Vertretern der Bundesbank und BaFin zusammen. 
Das Bundesamt für Sicherheit in der Infonnationstechnik (BSI) nimmt beratend 
an den Sitzungen der Arbeitsgruppe teil. Die Arbeitsgruppe befasst sich auch mit 
der Frage, welche Behörde/Institution am besten für eine Begleitung von Threat- 
Led-Penetrationtests geeignet ist. 
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4. Wurden nach Kenntnis der Bundesregierung bereits Unternehmen und/oder 
Personen angesprochen, diese Hackerangriffe auszuführen? 

a) Und wenn ja, mit welchen Unternehmen bzw. Personen wurde gespro¬ 
chen (bitte mit Angabe des jeweiligen Datums und der Namen der teil¬ 
nehmenden Personen beantworten)? 

b) Nach welchen Kriterien hat die Bundesregierung diese ausgesucht? 

c) Inwieweit prüft die Bundesregierung die Zuverlässigkeit (im untechni¬ 
schen Sinne) von Hackern, die möglicherweise mit einem Angriff auf die 
Banken-IT betraut werden sollen? 

Gibt es beispielsweise Ausschlussfaktoren, und wenn ja, wie lauten diese? 
Die Fragen 4 bis 4c werden gemeinsam beantwortet. 

Es wurden bislang keine Unternehmen und/oder Personen angesprochen, in die¬ 
sem Rahmen Flackerangriffe auszuführen. 


5. Unterstellt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) solle 
künftig für die Kontrolle der Hackerangriffe auf die Banken-IT zu Prüfzwe¬ 
cken zuständig sein, wie viele Personen in der BaFin sollen nach Ansicht der 
Bundesregierung künftig mit dieser Aufgabe betraut werden? 

6. Unterstellt die Deutsche Bundesbank solle künftig für die Kontrolle der Ha¬ 
ckerangriffe auf die Banken-IT zu Prüfzwecken zuständig sein, wie viele 
Personen in der Deutschen Bundesbank sollen nach Kenntnis der Bundesre¬ 
gierung künftig mit dieser Aufgabe betraut werden? 

Die Fragen 5 und 6 werden zusammen beantwortet. 

Die personellen Anforderungen sind nicht davon abhängig, welche Behörde für 
die die Begleitung der Threat-Led-Penetrationtests zuständig ist. Das TIBER- 
Rahmenwerk sieht die Etablierung eines sog. Tiber Cyber Teams (TCT) vor. Das 
TCT kann aus Mitgliedern verschiedener Behörden zusammengesetzt sein. Die 
Größe des TCT hängt dabei maßgeblich davon ab, wie viele Tests pro Jahr be¬ 
gleitet werden sollen bzw. wie umfassend das TCT in die Tests involviert wird. 
Diese Fragen werden derzeit im Rahmen der Erarbeitung der Rahmenbedingun¬ 
gen für eine nationale Implementierung geklärt. 
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